0 引言

在物聯網技術大規模應用的今天，縱觀應用領域涉及到的信息安全、網絡安全、系統安全等方面的問題非常普遍。物聯通信之間的開放性給物聯網黑客們帶到了一個前所未有的天堂。

物聯網黑客通過空中技術偵察手段截取通信信息流，破解物聯網絡的通信接口協議，采取信息偽裝、頂替、復制種種方式進入網絡，在消費者不知情的情況下獲得非法利益。對其應用系統安全造成巨大威脅。

物聯網中的通信技術、編解碼技術、嵌入式系統應用技術對信息安全提出了更高的要求。我們在推進物聯網廣泛應用的同時，需要在信息安全保障上做到防患未然。在設計、生產過程中不僅僅達到基本功能的實現，更多的是要關注系統的各項指標是否滿足信息安全的要求，系統是否處在在安全的應用應用狀態。

本文通過某高速路橋RFID收費系統信息被破解的過程，深入分析其物聯網黑客所用的技術手段、方法和實現。從中增強對物聯網產品信息安全防護的設計理念，在頻譜管理、信源編碼、通信協議、安全認證、系統抗毀等方面整體提高信息安全的門欄，保障物聯網健康安全的發展。

1對讀寫設備的無線電頻譜偵察

在使用射頻電子識別的眾多應用場合，為了充分、合理、有效地利用無線電頻譜資源國家對其工作頻段做了規定。目前市場應用較多的射頻電子識別(RFID) 產品的工作頻率有：125kHz，133kHz，13.56MHz，433MHz，862~928MHz，2.45GHz，5.8GHz等，其頻譜分布、應用范圍及所遵循的協議有著具體的劃分。通常情況下物聯網黑客根據用戶的應用情況可輕易獲取如下信息：

⑴從用戶電子標簽應用的場合得到頻譜偵察范圍;

⑵從用戶所持有的電子標簽得到可重復進行實驗的樣本;

⑶從電子標簽讀寫器安裝位置確定電磁測試方位、區域;

⑷從產品的宣傳信息得到目標功能的技術指標;

物聯網黑客針對上述情況實施情報收集與技術偵察，其行為具有隱蔽性。在對目標實施攻擊前，目前尚未明確的法律條文對其行為進行約束、禁止。需要引起我們有關部門的重視。

下面我們通過路橋RFID收費系統案例來分析物聯網黑客的技術手段，從中審視我們的信息安全。

物聯網黑客以正常過往車輛的身份，進入某高速路橋車輛電子識別收費通道。

該通道的讀寫器位于車輛的前上方，車行通道長度20米，車輛限行速度不超過20公里/小時。這意味著進入通道的車輛至少有3.6秒鐘的時間。此時，車輛前方可無遮擋的接收來自讀寫器天線發射的電磁波。沿通道路徑使用頻譜分析儀可迅速接收到讀寫設備的天線所輻射的能量，得到讀寫器工作的頻譜范圍和載波的中心頻率如見圖1

　　圖1 通過頻譜分析儀測試得到載波中心頻率在915.9MHz

車輛上載有一臺頻譜分析儀和通用數字存儲示波器，完成對讀寫器射頻頻譜信號的采樣流、存儲。通過分析得到如下信息：

這是一個中心頻率為915.9MHz的載波發射裝置，頻譜在以中心頻率兩邊15MHz的頻域內沒有發生其他活動的頻率，讀寫器天線功率輻射(e.r.p)大于33dBm, 且旁辦很小;

載波頻率在車輛進入通道中移動的前后5秒的時間段內沒發生中斷，載波是持續單頻的，表明讀寫裝置并沒采用跳頻通信方式;

這給物聯網黑客進入系統提供了信息跟蹤的條件，在一個頻點上可得到完整的信息交換，而多個完整的信息的交換勢必體現其調制方式和編碼特征。物聯網黑客用模擬載波來激勵電子標簽，探測電子標簽的應答信息，進而得到其調制方式，打開了系統安全的第一道門鎖。

2 實現對接收信號的相關解調

在完成讀寫設備的頻譜偵察后，解調出物聯間的通信的基帶信號是物聯網黑客追逐的高等級目標。得到基帶信號就給信源編碼分析奠定了基礎，繼而實現完整的信息內容的破解。

為達到上述目的物聯網黑客采取如下手段：

⑴剖析電子標簽

該系統使用的車載電子標簽，具有防水、密封、使用期限十年以上的特性，它的外部沒有任何與內部電路相關聯的接線、接口。這說明它是一款無源的與讀寫器相配套的UHF頻段的電子標簽。

無源電子標簽最顯著的特征是它工作的能源是靠外部提供，也就是依靠讀寫器發出的載波能量，經過電子標簽內部的整流電路轉換，為電子標簽提供內部的工作電源。

無源電子標簽利用了讀寫器的載波電磁輻射所提供的能源，同時把自己的信息反向輻射出去。電子標簽向讀寫器傳遞信息并沒有沒有改變載波頻率，其微弱的輻射能量在頻譜上很難觀察，需要把電子標簽的反射信號通過天線接收，低噪聲放大進入信息解調通道。

無源電子標簽由于受存儲空間的限定大多沒有加密體系，即便有些信息變換也是簡密，其重復周期很短。

以上無源電子標簽的特性決定了無源電子標簽就是一個低密級別的信息反饋體，同種類的標簽遵循相同的信息反饋規則，只要給標簽提供能量，標簽就發送自己的應答信息幀，并可重復進行相同的操作。

上述分析認定：這是一個讀寫器主動問詢標簽，標簽得到讀寫器載波提供的能量后，被動向上應答的系統。對于物聯網黑客來說其破譯的基礎條件充分具備。

在現實經濟活動中，電子標簽、讀寫器產品是商品，而使用這些商品搭建起來的應用平臺綁定著用戶各種信息，這意味著風險的普遍性。

⑵根據偵察結果確立解調算法：

要得到基帶信號首先是去掉載波信號。使用希爾伯特變換對接收的信號進行正交相關的乘法操，得到I，Q兩路信號。通過低通濾波器濾掉關于載波的二次諧波成份，然后隔離直流分量，并對其I，Q兩路信號進行平方和的運算。此后得到的是基帶信號的平方和，再對其進行平方根運算，形成的數據流即為基帶信息。

這里注意到讀寫器發出的載波信號與電子標簽返回的信號間的相互關系，做如下設定：

　　結合以上算法使用EDA工具組合單元電路，并對其功能進行仿真。如圖3 。

　　圖2 正交相關解調的電路模塊功能仿真

載波信號與電子標簽ID的射頻信號通過天線、經LNA低噪聲放大進入下變頻器;在下變頻信號與LO進行正交相關運算，將高次諧波濾掉。其接收端硬件解調器框圖見圖3。

　　圖3 正交相關解調器框圖

經過對反射信號的信息解調，電子標簽射頻信號的載波被濾除，流中的基帶信息被還原，見圖4。

　　圖4 下變頻-低通濾波后的基帶信號

此后，對基帶信號做進一步的濾波、整形、碼元識別處理，形成干凈的數據流。這部分工作由DSP/FPGA,或單片機來完成。處理后的數據流見圖5.

　　圖5 處理后的數據流信息(CH2)

至此完成了電子標簽信息發射信息的解調。接下來物聯網黑客將著手進行信號規格的分析。

3 完成通信信號規格的分析

電子標簽的應用在我國已經有十多年的歷史了，隨著RFID在金融、交通、物流、醫療等領域的應用, 個人的隱私和財產信息與電子識別系統相互綁定、關聯。解讀電子標簽信息無疑會給物聯網黑客帶來不菲的利益，成了物聯網黑客追逐的目標。

讀寫器、標簽執行標準的公開化，產品生產的社會化給了物聯網黑客太多的機會。通過技術手段得到電子標簽的信息，從容地占用你的私有資源，千里之外如囊中取物一樣的打開你的電子錢包來消費，如今已不是神話與魔法。

無論采用哪種方式來解讀電子標簽，其目的是解析出電子標簽的數據幀格式。包括起始標識，同步標識，數據段長度，校驗方式、握手規則。也就是我們常說的接口協議。物聯網黑客采用的方法主要有：

⑴手工作業

利用電子標簽反射信息的不變性，使用數據存儲示波器積累捕捉數據波形，把波形打印或照相拼接，組成完整周期的數據波形。使用分規測量出波形序列中最小的脈寬單位，從首碼開始，測量波形，識別、標注波形代碼，直至波形序列結束。

觀察同類型、同批次的電子標簽波形信息，對比信息出現的位置與變化，利用已知的、常用的信道編碼，信源編碼體系去判讀，旁證，找出規律。

通過波形圖分析，得到數據幀長度，碼元寬度，起始標志，結束標志。

⑵程序作業

①首先是數據流特征識別。判斷當前數據幀與已知的數據幀格式是否一致。讀取多個標簽的數據流信息，找出數據幀的基本格式。

②運用已知編碼，判讀電子標簽信息。得到程序識讀的信息。給現實驗證提供素材。

③遍歷數據幀的起始位，判讀CRC的數值，驗證某CRC生成多項式是否成立，解析出數據幀信道編碼格式。

我們看一下通過空中偵察接收解調后的電子標簽基帶信號流。見圖5

　　圖5 解調處理后的基帶信號流

顯而易見，這種編碼在一個碼元的時間片里，通過一個時鐘脈沖上升沿所出現的位置來表達信息。按此規律可讀取電子標簽所反射的的信息流。見圖6

　　圖6 電子標簽反射的信息流

多個同批次的標簽讀出的數據表明：每個電子標簽反射的其前11位(44bit}是不變的，

表明電子標簽在信道中按統一格式封裝了信息，這11位信息標識著信息幀的開始。如果這組信息在傳輸中發生錯誤或信息不完整，不具有這傳輸種格式，那么這組數據不會被讀寫器識別，也即讀寫器認定一個數據幀的開始，必須具有前11個數據做為信息幀標識。可以推出，對后面對數據進行校驗時不包括前導識別碼。將上述信息流特征歸納如下：

⑴ 通信信道編碼 ：

使用位置編碼，每位信息位占用4個時間片，每片時間為1us。

其中：

脈沖序列 1000 h 為信息1;

脈沖序列 0010 h 為信息0;

信息幀首部的固定信息為：0000 0000 XX1，

XX 為低電平。

根據上述的分析，對兩個電子標簽進行識別，翻譯成信息碼如下：

信息碼： 0580 0006 a5aa 7950 h (16進制) ;

信息碼： 0580 0006 3aaa 3b5a h (16進制);

⑵ 數據幀格式：

去除相同的標識碼,對比兩個電子標簽數據data1,data2，有:

Data1: 0580 0006 a5aa 7950 (16進制);

Data2 :0580 0006 3aaa 3b5a (16進制);

數據長度共64位，數據具有唯一性。進一步分析發現,不同批號的電子標簽其數據變化的字節發生在數據幀的前16位。也就是說每個數據幀至少包含46位數據，其中包括校驗碼CRC。校驗碼監視這64位數據在傳輸過程中的差錯。至此可以通過程序驗證的方法，推算CRC的位置和可能的多項式。最終得到如下結果。見圖7

　　圖7 數據幀格式

其中：

EXT: 2bit 擴展位;

MAN: 4bit 制造商代碼

CUST 10bit 用戶代碼;

UID: 32bit 序列號;

CRC: 16bit 校驗碼;

⑶ 完整的ID信息幀描述

ID：由8個起始信息碼，3個同步碼，64個數據信息碼組成，將其記為 :

ST XX1 DATA ，其幀含有75個信息碼元。每個信息碼元位占4個時鐘單位;

ST：為前導碼，由8個連續的編碼為“0”的信息組成 ，共占32個時鐘單位時間，為程序進行幀同步提供起始標識 ;

XX1：為同步碼，其中X為一個信息bit的低電平，“XX1”共占12個時鐘單位時間;

DATA：數據字段，由64個信息碼元構成。占256個時鐘單位;

CRC 16 包含在DATA中，使用數據字段的最后的兩個字節(16位)，占64個時鐘單位時間;

整個數據幀共75個信息碼元，占用300us時間。

⑷程序驗證數據幀CRC校驗多項式

對CRC生成多項式G(X)=X^16+X^15+X^2+1進行使用甄別 ，驗證在數據幀的CRC校驗中是否遵循這個多項式，用程序方法遍歷可能的多項式。結果表明，數據幀采用了CRC16校驗。

至此，物聯網黑客已完成了對這種類型讀寫器的空中接口協議的解析。可對標簽信息接收、拷貝、加工、并冒名應答讀寫器取得其信任。

4 硬件實現要點分析

⑴微帶收/發天線

電子標簽反射的信號非常微弱，在傳播過程中隨路徑的增加和傳播介質的變化而衰落。這就需要在前端對信號進行相應的處理，首先是UHF頻段高增益的天線。

在對RFID實施頻譜偵察中黑客采用全向天線，而在針對讀寫器和標簽進行信號發射/接收時則更多使用微帶天線。這是由于在UHF頻段的讀寫器天線大多受制造成本和應用場地的尺寸限制。

微帶天線由導體薄片和介質基片背面的導體接地板構成天線，在UHF頻帶上有大量的應用。雖然微帶天線頻帶窄，增益一般小于20dB，但在微帶天線后端使用低噪聲放大器LNA對接收信號進行放大,可以滿足下變頻對信號的需求。下面是一款接收中心頻率為915MHz的微帶天線，使用了兩塊FR4雙面覆銅板制作，反射系數達28dB。見圖9

　　圖9 一款中心頻率在915.3MHz的微帶天線反射圖

在實際信號偵察中將發送與接收天線分立，這樣可以獨立進行發送信道的功率控制和接收信號的增益調整。 采用雙天線形式的信號解調框圖見圖10

　　圖10 雙天線形式信號解調框圖

⑵使用頻率合成器實現LO

LMX2531是一款低供電，高性能頻率合成器。單芯片內完整的集成了△∑PLL和VCO及低噪聲、低壓差穩壓器LDO，使其具有更高的噪聲抑制性能和穩定性。在與高精度晶振配合使用時可產生非常穩定、低噪聲的本地振蕩信號(LO)。

LMX2531采用三線Microwire 接口方式,使用單片機就可對LMX2531內部的11個24位寄存器操作，裝載LO的控制字。按要求改變LMX2531內部寄存器的狀態，可在輸出端得到預定規格的頻率。這對于數據發送/接收中的上、下變頻帶來極大的方便，可針精確產生固定頻率，也可偽隨機改變頻率實現跳頻通信。 輸出頻率為915.3MHz時其內部寄存器的設置參數見圖11。

圖11 輸出頻率設置為915.3MHz時其內部寄存器的設置參數

LMX2531為36個引腳，采用LLP 封裝，(6*6*0.8mm),外部連接非常簡單。在做PCB時注意芯片的底面接地。運用LMX2531構成的LO見圖12

　　圖12 運用LMX2531構成的LO原理圖

⑶射頻功率放大器(RFPA)

HPMX-3002是一款低成本的集成電路功率放大器，既可以用來做射頻發射電路的末級功率放大器，也可以做末級前端的驅動放大器。其工作范圍在150~960MHz。

這款芯片的控制采用SO8的封裝，使用起來很方便，廣泛應用在GSM移動電話，ISM頻段的射頻小功率放大(1W)和低功率RFID讀寫器的功率驅動器上。該芯片的輸出阻抗ZO = 50 歐姆，通過微帶線匹配，芯片文檔提供了較完整的S參數數據表。

HPMX-3002通過引腳5的直流電壓實現對輸出功率的控制，調整后兩級的增益，范圍達50dB。控制端的輸入電壓0至2.5V，頻率在800至1000MHz時，控制電壓對輸出功率有較強的對應性。低于300MHz時控制作用減弱見圖13。在900MHz輸入頻率下的基本測試電路見圖14.

　　圖 13 控制電壓與功率輸出的關系

　　圖14 HPMX-3002基本測試電路圖

HPMX-3002實際應用中性能穩定，輸出端的阻抗匹配可通過微帶線來調整。

圖15為一款工作頻率在915.3MHz的PA功率放大器，設計最大功率輸出2W，通過特性阻抗50歐姆的傳輸線與微帶天線相連，電路發出射頻功率信號，激勵無源電子標簽反射信息。配合輸入系統對其識讀，識讀距離達12米。

　　圖15 工作頻率在915.3MHz的PA功率放大器

提高讀寫器的射頻發送功率無疑會增加讀寫電子標簽的距離。但輻射功率超過4W后無源電子標簽的反射能力并非顯著提高，而讀寫器射頻發射的載波能量會輻射至到幾十米或更遠的距離，這對于一個應用系統來說信息泄露的可能性大幅提高，很可能是災難性的，因此，對應用系統的功率控制與管理需要嚴格執行有關標準。

5射頻識別領域中的安全警示

在物聯網應用快速發展的今天，網絡安全、數據安全、信息安全問題涉及到研發、生產、管理的各個層面。沒有永遠的安全港，需要我們不斷提高防范意識，審視我們的產品和服務中是否存在安全隱患。現實應用中的許多案例再一次警示我們：

⑴在研發、生產過程中要遵守國家關于UHF 頻段讀寫器發射功率等技術指標，嚴格控制讀寫器的輸出功率。對發射天線的旁瓣指標也要加以限制。高功率信號輸出會提高讀寫成功的幾率，同時也降低了信號偵聽的難度。

⑵應用中嚴格要求采用跳頻技術來進行讀寫器與電子標簽之間的通信。單一頻率的載波通信方式信息被跟蹤破解的風險極高。

⑶在涉及個人隱私、財產、安全的電子識別領域，必須采用可進行信息交互處理的電子標簽、卡，并具有電子電子加密認證體系。僅以標簽做ID使用而放棄信息相互認證的將直接被物聯網黑客利用。

⑷加強電子標簽、讀寫器硬件設備的管理，防止逆向工程的實現。重要身份、財產認證的電子讀寫機具，應設立應急狀態數據接口，具有系統信息鎖定、更新、自毀的功能。

⑸高端無線分析儀器、協議分析儀器、高速數據存錯設備建議實名采購。建立信息安全測試產品的可追溯管理。

⑹強化物聯網安全協議標準的制定與嵌入式設備中的加/解密算法的深入研究。提高普及性應用的安全指數。